基于科技化視角的未來銀行全面風險管理

趙志宏 金鵬

2020年初新冠疫情這只“黑天鵝”轉化成“灰犀牛”，環球同此涼熱，美股、石油和大宗商品應聲而落，銀行業也正在經歷一場突如其來的風險壓力測試。商業銀行為牢牢守住風險底線，既要馴服“灰犀牛”，又要防范“黑天鵝”。

全面風險管理助推銀行抓住“犀牛角”

“灰犀牛”迎面而來，能否抓住那一對珍貴無比的“犀牛角”，考驗的是銀行全面風險管理的敏捷與韌性。在無處躲避的風險中，全面風險管理之于銀行，正如競技場上的撐桿之于撐桿跳，應對迅猛而來的“灰犀牛”，我們需要一個既能承受較大壓力、不易折斷;還能借助預應力反彈，助推業務前臺穿越空中障礙的全面風險管理體系。

“黑天鵝”和“灰犀牛”對于銀行業往往是致命的打擊，但是銀行風險管理對這方面的監測、預判和應對卻不夠有效。這很大程度上是由于工具、手段、技術的限制，而金融科技的發展讓我們看到了希望。金融行業的大變革正在其中醞釀，金融業態可能會從“互聯網+”跳躍式邁向“AI+”，將在防范和應對“黑天鵝”和“灰犀牛”風險方面起到重要作用。未來銀行風險管理必然與人工智能、區塊鏈、云計算、大數據、物聯網、5G等科技因素的快速發展演進深度融入，進入一個“自動、實時、精準、敏捷”的全新階段。

“自動”即借助大數據、人工智能等科技手段，搭建系統化、自動化管理工具體系，自動收集數據信息，自動識別、評估、計量、監測、應對風險，實現風險管理全流程的自動高效智能運轉。

“實時”即借助大數據、物聯網、云計算等科技手段，實現對風險信息快速捕捉，實時響應、分析、應對風險，避免出現風險管控缺位或滯后。

“精準”即借助區塊鏈、大數據、人工智能等科技手段，通過優選機器學習算法、進行交叉驗證、強化模型監控等途徑，精準識別、計量、排序風險，使風險決策、應對更加準確有效。

“敏捷”即借助人工智能等科技手段，實現風險管理體系自身能主動學習、自我快速迭代，不斷進行高效的短周期的改進、提高和調整，使得風險感知、風險計量、風險應對等能力不斷自我完善。

概括而言，這四大特征是全面風險管理不斷增強科技屬性而帶來的工作質效提升的具體表現。

在接下來的“AI+”時代，處于智能金融價值網中的未來銀行風險管理將具備“自動、實時、精準、敏捷”的特點，借助科技因素的快速發展演進，深度融入銀行業務全流程、嵌入客戶全場景，通過前臺APP服務引流導入、中臺API開放連接客戶、后臺智能風險管理的模型應用和組件化調用實現敏捷的風險管理。并且，基于智能金融價值網這個基礎設施，未來銀行將有力提高信用挖掘能力、全面融入能力、無感服務能力、生態賦能能力、合規管理能力、智能風控能力，成為未來銀行的價值體現和核心競爭力。

成就未來銀行的“免疫系統”

看不見的風險往往是最大的風險，因為這說明可能這種風險根本沒有在我們的考慮和認知范圍內。而在突如其來的考驗下，全面風險管理將成為未來銀行的“免疫系統”，它的基因源于“信用發現”，活力來自于科技賦能，運行受到《巴塞爾協議》的約束激勵。

基因：源于信用發現

近幾年，各類科技公司紛紛進入金融領域，憑借著科技優勢開展金融業務，蠶食著傳統商業銀行的市場，這種趨勢是否意味著金融科技公司將取代商業銀行。

1982年，時任美國明尼阿波利斯聯邦儲備銀行主席的杰拉德·科里根在發表的《Banks Special》中指出，銀行的特殊之處是可以同時存款和放款，并具備四種中介功能——面額中介、風險中介、期限中介以及資訊中介。我們認為，無論金融業和金融工具的形式如何變遷，銀行的這四個中介功能都不會有任何改變，它們還是特別的存在。任何一家機構只要具備了這些中介功能，就算它的名字不是銀行，也必須受到與銀行同樣的約束。

雖然一些金融科技公司曾經說過，我們并不需要成為銀行，只需要具備銀行的功能，但其實他們并不了解銀行。這些金融科技公司實際上只具有上述四種中介功能的一部分，如果有一家公司同時具有了這四大功能，那它就是銀行。我們永遠離不開銀行的中介功能，雖然現在的市場創新、資源競爭，導致銀行的地位受到了挑戰，但隨著監管力度的逐步加強，一些非銀機構提供銀行服務的能力也將受到限制。就像阿里、騰訊這樣中國最優秀的科技公司，也分別組建了網商銀行和微眾銀行，從一定的角度證明了，單純的金融科技公司并不能徹底消滅銀行以及銀行的中介功能。

架構：遵循ERM（2017）管理理念

2017年是企業風險管理（ERM）發展史上引人注目的一年，這一年COSO對ERM：2017《企業風險管理框架（終稿）》實施了版本更新。ERM（2017）風險管理框架在“內控視角”的ERM（2004）的風險管理體系基礎上有了顛覆性的變化，真正從企業“管理”視角對風險管理體系進行規劃，更新力度堪稱是一種“革命性或顛覆性”的調整，體現了2007年金融危機之后全球企業管理和企業風險管理領域最新發展成果。ERM（2017）的主要理念變化包括：

第一，更新了“風險”和“風險管理”的定義。ERM（2017）將風險定義為事項發生并影響戰略和商業目標實現的可能性。同時定義了“事項”是一個事項或一組事項，強調了風險不是一個單維度的影響，需要從多維度、組合的層面來看風險。ERM（2017）將“風險管理”定義為組織在創造、保持和實現價值的過程中，結合戰略制定和執行，賴以進行管理風險的文化、能力和實踐。這與ERM （2004）將風險管理工作視為“一個流程、程序”相比，有了顛覆性的變化。

第二，從“控制體系”發展為“管理體系”。ERM（2004）仍然是在COSO內部控制報告基礎上的升級和擴充，風險管理與內部控制的重合度非常高，這導致了近年來企業在風險管理實踐中對內部控制和風險管理概念和界限的混淆。ERM（2017）澄清了對風險管理和內部控制關系的誤解，認為企業風險管理遠不止內部控制，它還涉及其他主題，如戰略制定、企業治理、與利益關聯方的溝通、績效評估等。ERM（2017）將企業風險管理定義為像一種文化、能力和實踐一樣，風險管理是存在于組織和員工意識范疇、貫穿于業務流程、對戰略績效發揮作用的管理機制。

第三，強調風險管理和企業價值之間的緊密關聯。ERM（2017）認為，實施風險管理并不是為了滿足監管和合規要求，而是要從企業使命、愿景和核心價值出發，將風險管理定位為提升企業的價值和績效的手段，強調將其嵌入企業管理業務活動和核心價值鏈，滿足企業更高層次的需求。這種理念突出了風險管理不是側重在防止對企業價值的侵蝕和降低負面風險，而是應被視為戰略設定和抓住機遇、創造和保持組織價值不可或缺的一部分，是動態管理組織整個價值鏈的一環。

活力：來自科技賦能

只有借助金融科技手段，商業銀行才能真正落實“全面風險管理”，提升對“黑天鵝”突發事件，以及“黑天鵝”轉化為“灰犀牛”的企業級風險應對能力，運用大數據、人工智能技術，進行市場風險和客戶風險的智能識別、動態定價和全實時自動化機器審批。

近年來，商業銀行對金融科技投入重金，努力實施數字化轉型。從最初的模仿電商平臺公司開辦銀行電商平臺，到把大量中小銀行匯聚起來形成“銀銀平臺”，再到目前通過API技術把銀行服務端口嵌入到客戶端和客戶生活場景，中國銀行業的組織架構和服務模式一直在發生巨變，其中金融科技對改變傳統金融業的鯰魚效應必不可少。而在其中，我們注意到以下三個重要問題：

科技創新帶來新風險。科技的創新發展，一方面將在未來為銀行賦予新功能并注入無以替代的發展新動力，另一方面也正在為銀行帶來眾多極具挑戰的新風險。

首先是新技術發展不成熟的風險。譬如以深度學習為代表的AI技術，其模型很可能隱藏著“偏好”風險、缺陷風險，甚至可能有把“錯誤當真理訓練”的風險，或存在易被擾動的魯棒性風險，以及由于AI尚不具備理解能力所以無法自主解決新問題的能力孤島風險。

科技創新的核心價值在于“先機”二字，銀行要想搶得領先紅利，就必須學會“火中取栗”，主動擁抱和應對新技術存在的不成熟風險。

科技還存在“小錯不犯，一犯錯就是‘黑天鵝”的風險。例如，美股這一輪史無前例的過山車行情，與算法交易的盛行高度相關。尤其，當銀行及金融市場主體高度數字化后，銀行所面臨的風險鏈條將變得空前的錯綜復雜，風險傳導方式和蔓延模式將發生根本性變化;科技風險與銀行業務本來存在的本源風險將可能發生雙重疊加;稍有不慎，便會由此引發系統性風險。

其次，新科技會帶來法律風險、倫理風險的挑戰。未來世界里，將存在人與人、人與機器、機器與機器之間等多種關系形態，其交互是基于智能合約的，一旦產生風險，如何從法律上界定責任主體，將在未來新科技環境下成為一個重要的問題。而深度學習等技術如同黑盒子般的不可解釋性，更是增加了責任主體界定的難度。

科技創新還會帶來很多其他的風險。比如，科技推動去中心化潮流，在傳統的中心化金融體系里充當“信用中介”的銀行，面臨角色重新定位的風險;又比如，科技創新存在偶然性大、技術路線難以提前規劃的風險;再比如，尖端科技有被負面利用的風險，“深度造假”已接近以假亂真;此外，各種銀行設施、資產高度數字化后都將面臨網絡攻擊風險，潛在損失風險不可低估;而海量數據里則可能蘊藏著合規風險、隱私權風險。

銀行在未來必須建立起駕馭科技風險的量化風險管理模式，不可讓科技風險游離于銀行整體的數字化風險管理體系之外。

科技賦能銀行風險管理的驅動因素。銀行之所以能夠實現“自動、實時、精準、敏捷”，背后很重要的一個驅動因素將是業務數字化和智能化轉型大潮下“銀行仿真云平臺”的出現。“銀行仿真云”將使得在線上完成對銀行端到端的全面仿真成為可能，銀行實時創新業務模式實時變現風險機會將不再停留在夢想層面。在銀行仿真云平臺上，銀行的新風險評估、壓力測試、監管要求、業務創新等，都可以基于仿真的方式完成。仿真是完全數字化的節奏，在仿真平臺上，銀行人員可以在模型工作坊進行風險計量模型的查詢、開發、測試、發布，還可以按照比現實時間快數萬倍的速度運行，還能通過并行方式實現“跑批”仿真，即一次性同步仿真大量的風險因素或風險情景。依托銀行仿真云，銀行面對各種新狀況時，對背后的新風險因素的計量將能在極短時間內達到足夠精準的程度，由此實時做出風險評價，迅速展開各種形式的風險計算，及時推廣各種風險應用，將徹底破解銀行及銀行業務迭代創新速度不夠敏捷的老問題。

科技賦能監管帶來新變化。隨著科技的不斷發展，商業銀行的科技元素越來越多，與此相應的，對商業銀行的監管也應進行科技賦能，在監管科技方面應該不斷強化。監管科技的核心技術主要包括云計算、大數據、人工智能、區塊鏈和API等五大領域。

隨著科技的不斷發展，監管科技的應用場景有很多。比如：通過用戶身份識別，發現和阻止可疑的交易行為;通過市場交易行為監控，發掘關聯賬戶的異常操作;通過合規數據報送渠道的數字化，提高效率，降低成本;通過智能化的監管法規信息跟蹤與分析，提升合規能力;通過風險數據融合分析實現對系統性風險的洞察等。

監管科技應用給金融行業監管帶來了新的特征：一是更加敏捷化，能夠充分利用云計算技術，實現相關應用的快速部署，對錯綜復雜的數據組進行快速解耦和組合。二是更加實時化，能夠實時監控各種指標數據，及時生成報告和解決方案;提高風險識別和處置能力，及時處理風險事件，提高事中監管的效率。三是更加智能化，高效快速地識別風險，并對監管數據進行挖掘，釋放數據潛力;智能掌握監管尺度，制定合規要求。四是更加標準化，實現監管數據的共享性和數據結構的統一性;對監管合規數據形成統一的標準，實現宏觀監管和機構內部監管的統一。五是更加數字化，新技術的應用實現了報告數字化和合規流程自動化，能夠快速收集和分析處理復雜的數據，實現由了解客戶（KYC）到了解數據（KYD）的轉變。

在科技賦能監管之外，沙盒機制將成為平衡監管與科技的新支點。一方面，沙盒機制能夠有效緩解金融科技創新需求旺盛與監管資源有限的矛盾，提高監管部門的容忍度和試錯空間，助力創新產品走向市場。另一方面，銀行的創新成果推向市場前，可以在縮小版的真實市場、寬松版的監管環境里接受檢驗，充分發揮沙盒在新技術、新業務模式方面的風險化解功能，降低金融科技創新的合規成本。

運行：《巴塞爾協議》約束激勵

《巴塞爾協議》的風險管理思路是以資本作為抵御風險的手段，通過風險識別和計量技術判斷商業銀行的各種風險是否在其資本可以承受的范圍內，根據資本約束采取各種風險緩釋方法鎖定損失、爭取資本收益最大化，再輔以資本充足率評估、壓力測試、監督檢查與市場紀律，強化內外部的監督約束。

因而，從《巴塞爾協議》的角度來看，資本對于商業銀行有著特殊的意義。不同于從事商業運營的普通企業，銀行業務很大程度上依賴于對資本的運用，通過各類風險投資，獲取差額收益。在銀行運行中，除了使用有限的自有資金外，更多的是通過吸收社會的流動性（例如存款以及通過各類金融市場業務獲得短期資金）進行各類資產業務，在扣除資金成本和營運成本后從中盈利。在日常運用中，按照相關法規，商業銀行往往更多地依賴吸納外部資金來從事更高收益（同時也承擔更高風險）的非傳統類業務。因此，一旦遇到重大經濟動蕩，對商業銀行來說，其面臨的風險不僅僅是經營失敗導致自身本金的損失，更需要面對無法兌付從第三方吸納的資金的風險。然而，一旦銀行流動性出現危機，不僅會嚴重影響高風險業務的存續，更會導致銀行因為喪失兌付能力，而讓低風險的傳統業務萎縮，甚至讓低風險承擔能力的儲戶面對危機。這一點是銀行作為“社會經濟發動機”的角色而言最大的結構性風險，也是金融監管最大的關注點。

為了防止這種情況出現，商業銀行就需要留存一定量的資本來抵補隨時可能產生的風險。但如果資本留存太多，由于機會成本的存在，會導致資金浪費;如果資本留存過少，銀行破產的概率就會變大。因此，商業銀行在經營過程中的風險管理問題本質上就是資本管理的問題，即商業銀行業務經營過程中，在利用資本盈利的同時要評估自己能承擔多少風險，怎樣在收益和風險之間做一個有效的平衡。

資本管理對未來銀行仍然重要。未來銀行的發展方向是數字化轉型、場景化融入、平臺化協作、生態化拓展、敏捷化組織等，在日常的經營活動中注入科技動能。但未來銀行無論朝著哪個方面發展，其本質仍舊沒有變，始終要遵守《巴塞爾協議》的規定，運用金融科技手段更精準有效地進行資本管理，以保證商業銀行可持續經營，在收益和風險之間平衡。

未來銀行的“據守與求變”

未來銀行只有在堅守不變的本質中，謀求順應時代的變化，做到在不變中求變，才能在未來的競爭中脫穎而出、笑到最后。

從風險管理來看，我們認為未來銀行必須在兩個方面做出改變。一方面，要增強科技屬性。未來銀行風險管理必須注入以A（人工智能）、B（區塊鏈）、C（云計算）、D（大數據）、5G與物聯網（IOT）為代表的強大科技動能，提高風險管理的質效。另一方面，要更新管理理念。作為主導現代風險管理發展方向的最具代表性的國際力量，美國反虛假財務報告委員會發起組織委員會（COSO）于2017年9月發布了《企業風險管理——融入戰略和績效》（ERM，2017）。未來銀行風險管理應當引入ERM（2017），將風險管理融入到銀行戰略和績效管理中。

與此同時，銀行風險管理在改變中要注意把握本質屬性，銀行的金融基因和監管底線不能變。作為商業銀行，無論其服務客戶方式是實體網點還是場景化融入，也無論其所依賴的管理技術是線下人工方式還是線上智能化，商業銀行信用中介的核心本質始終不變，仍然是作為市場中的信用中介為信用兩端的客戶提供服務;與之相適應，商業銀行經營管理遵循監管要求的合規本質也不能改變。

（本文內容基于作者撰寫的中國金融出版社出版的《未來銀行全面風險管理》〔NFI新金融書系〕一書）

（作者趙志宏系渤海銀行董事會秘書、首席風險管理官、行長助理，金鵬系建設銀行湖北省分行副行長）